Компания CoreOS завершила бета-тестирования нового инструмента Clair, объявленного в конце прошлого года и предназначенного для поиска и устранения уязвимостей в контейнерах Docker.
Clair 1.0 представляет расширяемое средство для анализа образов контейнеров с точки зрения безопасности. Как объясняет CoreOS, с помощью Clair разработчики могут обеспечить защиту контейнеров, используя имеющуюся информацию об уязвимостях, причем этот инструмент не только информирует о наличии угрозы, но и предлагает заплатки для устранения дыр в защите.
По мнению CoreOS, такой специальный инструмент необходим. С одной стороны технология контейнеров укрепляет безопасность за счет создания границ между приложениями, но с другой большинство имеющихся средств защиты не рассчитаны на работу с контейнерами и поэтому их игнорируют. В то же время, многие используемые образы контейнеров основаны на той или иной версии Linux-дистрибутивов Debian и CentOS, которые имеют немало потенциальных уязвимостей.
Поэтому CoreOS советует пользователям обновить образы контейнеров. Так, по данным компании, они это редко делают, а между тем более 70% обнаруженных дыр в защите можно устранить путем обновления установленного ПО.
При создании Clair 1.0 разработчики постарались улучшить производительность этого инструмента, устранив узкие места, связанные с взаимодействием с базой данных. Для этого создан интерфейс, позволяющий абстрагировать операции с БД, который в данный момент поддерживается СУБД Postgres 9.4.
Для упрощения использования предусмотрены новый API-интерфейс, основанный на технологиях RESTful и JSON, с помощью которого разработчики могут интегрировать Clair с другими системами и приложениями.
Поскольку компоненты Clair являются расширяемыми, пользователи могут создавать собственные расширения и размещать их в базовом репозитории Clair в соответствие с принципами Open Source. Так, Huawei внесла свой вклад в этот проект, создав расширение для поддержки формата образов контейнеров ACI.